Encase Forensic v8 İmaj Alma

Yeni Oluşturulan Case Ana Sayfa ve İmaj Alma

 

Case dosyası oluşturduktan sonra aşağıdaki gibi ekran karşımıza gelmektedir.

 

 

İmaj almak ve imaj dosyası açmak için “Add Evidence” sekmesi kullanılır. Encase v6’daki Add Device sekmesine karşılık gelmektedir.

 

 

Aynı işlevler Encase v8 de “Add Evidence” sekmesi kullanılarak yapılmaktadır. Add Evidence tıklatıldığı zaman yukarıdaki gibi ekran karşımıza gelecektir.

 

Add Local Device: Sistemdeki tüm fiziksel ve mantıksal veri ortamlarını listeleyen kısımdır. CD/DVD sürücü, USB bellek, harici harddisk, sistemin kendi harddiskleri Local Device olarak değerlendirilir. İmaj almak için veya ön inceleme yapmak için bu seçenek kullanılır. Bu sekmeye tıkladığımızda aşağıdaki menüler gelecektir.

 

 

Bu seçenekler aşağıda yer almaktadır.

• Detect Tableau Hardware: Tableau marka cihazlara bağlanan aygıtların tespiti için kullanılır.
• Only Show Write-Blocked: Yazma – koruma olarak bağlanan aygıtların tespiti için kullanılır.
• Detect Legacy FastBloc: Diskin bilgisayara write block ile bağlı olup olmadığı bilgisini görmek için kullanılır.
• Enable DCO Removal: Sata hard disklerde normal kullanıcıların erişemeyeceği, işletim sisteminin yüklü olmadığı bölüm oluşturulmuş ise o bölümlerin görünmesini sağlar.
• Enable Physical Memory: Ram belleğin tamamının imajının alınması için kullanılır.
• Enable Process Memory: Ram belleğin kullanılan kısmının imajının alınması için kullanılır.

 

Add Local Device seçenekler doğrultusunda tercihler yapıldıktan sonra ileri butonuna tıklanınca aşağıdaki gibi mantıksal ve fiziksel sürücülerin olduğu ekran karşımıza gelecektir.

 

 

İmajını alacağımız veya inceleme yapacağımız sürücü buradan seçilip son sekmesine tıklanırsa sürücü EnCase v8 ye eklenmiş olur.

 

 

Sürücü eklendikten sonra artık sürücü içerisindeki dosyaları inceleyebiliriz. Sürücünün imajını almak için ise Encase v6 da olduğu gibi “Acquire” sekmesi kullanılır.

 

 

Acquire sekmesine tıklandıktan sonra imaj alma seçeneklerinin olduğu menü ekranı aşağıda gösterilmiştir.

 

 

Location menüsünden ; imaj alma ile ilgili bilgiler ve imaj alınacak klasör yolu belirtilir.

 

Format menüsünden ise imajın formatı ve ne kadar boyutlarda alınacağı belirtilir. İmaj alma formatının E01 olması EnCase v8 sürümlerinin dışında kullanılması için uygun olmaktadır. EXO1 formatını EnCese v7-8 dışındaki sürümler açamamaktadır. Verification Hash sekmesinden imaj doğrulama değeri seçilir.

 

 

Password sekmesinden imajın diğer kişiler tarafından kullanılmasını engellemek için imajın şifrelenmesini sağlar.

 

File Segment Size sekmesinden imajların ne kadar boyutlarda alınmasını belirlemek için kullanılır.

 

İmaj alma işlemi ekran sütununda gerekli bilgileri ekledikten sonra OK tuşuna basılır ve EnCase ekranının Sağ alt köşesinde imaj alma işlemin başlatıldığı ve tahmini kalan süre yer alır.

 

 

Not: EnCase üzerinden alınan imajlar CPU’yu (işlemci) büyük bir çoğunluğunu kullanır. Bu nedenle imaj alma işlemi sırasında işlemciyi yoran programlar ve uygulamalar kapatılmalıdır.